PT-2022-28195 · Unknown · Prometheus
Publicado
2022-12-05
·
Atualizado
2022-12-05
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Prometheus anteriores à 2.37.4
Versões do Prometheus anteriores à 2.40.4
Descrição
Uma falha na implementação da autenticação básica no Prometheus permite que invasores que conheçam a senha hashada se autentiquem no Prometheus. Isso é possível devido a uma falha no kit de ferramentas do exportador, que permite que um invasor falsifique uma solicitação e corrompa o cache interno usado para o cálculo do hash, fazendo com que as solicitações subsequentes sejam bem-sucedidas. O cache é usado para limitar ataques de canal lateral.
Recomendações
Para versões anteriores à 2.37.4, atualize para o Prometheus 2.37.4 ou posterior.
Para versões anteriores à 2.40.4, atualize para o Prometheus 2.40.4 ou posterior.
Como solução alternativa temporária, considere restringir o acesso à senha com hash armazenada em disco para minimizar o risco de exploração.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Prometheus